التقنيات المتقدمة في صميم برنامج الحماية من الفيروسات Microsoft Defender
ينطبق على:
- Microsoft Defender XDR
- Defender for Endpoint الخطة 2
- Microsoft Defender for Business
- الخطة 1 من Microsoft Defender لنقطة النهاية
- برنامج الحماية من الفيروسات من Microsoft Defender
- Microsoft Defender للأفراد
Microsoft Defender مكافحة الفيروسات والمحركات المتعددة التي تؤدي إلى تقنيات الكشف والوقاية المتقدمة تحت الغطاء لاكتشاف وإيقاف مجموعة واسعة من التهديدات وتقنيات المهاجم في نقاط متعددة، كما هو موضح في الرسم التخطيطي التالي:
العديد من هذه المحركات مدمجة في العميل وتوفر حماية متقدمة ضد معظم التهديدات في الوقت الحقيقي.
توفر محركات الحماية من الجيل التالي هذه أفضل قدرات الكشف والحظر في الصناعة وتضمن أن الحماية هي:
- دقيق: يتم الكشف عن التهديدات الشائعة والمتطورة، والتي تم تصميم العديد منها لمحاولة الانزلاق من خلال الحماية، وحظرها.
- في الوقت الحقيقي: يتم منع التهديدات من الوصول إلى الأجهزة، أو إيقافها في الوقت الحقيقي من النظرة الأولى، أو اكتشافها ومعالجتها في أقل وقت ممكن (عادة في غضون بضعة مللي ثانية).
- ذكي: من خلال قوة السحابة والتعلم الآلي (ML) والبصريات الرائدة في صناعة Microsoft، يتم إثراء الحماية وجعلها أكثر فعالية ضد التهديدات الجديدة وغير المعروفة.
الكشف عن المختلط والحماية
يقوم برنامج الحماية من الفيروسات Microsoft Defender بالكشف والحماية المختلطين. ما يعنيه ذلك هو أن الكشف والحماية يحدثان على جهاز العميل أولا، ويعمل مع السحابة للتهديدات التي تم تطويرها حديثا، ما يؤدي إلى اكتشاف وحماية أسرع وأكثر فعالية.
عندما يواجه العميل تهديدات غير معروفة، فإنه يرسل بيانات التعريف أو الملف نفسه إلى خدمة الحماية السحابية، حيث تقوم الحماية الأكثر تقدما بفحص التهديدات الجديدة بسرعة ودمج الإشارات من مصادر متعددة.
| على العميل | في السحابة |
|---|---|
|
محرك التعلم الآلي (ML) مجموعة من نماذج التعلم الآلي خفيفة الوزن تصدر حكما في غضون مللي ثانية. تتضمن هذه النماذج نماذج وميزات متخصصة تم إنشاؤها لنوع معين من الملفات التي يسيء المهاجمون استخدامها بشكل شائع. تتضمن الأمثلة النماذج المصممة للملفات القابلة للتنفيذ المحمولة (PE) وPowerShell ووحدات ماكرو Office وJavaScript وملفات PDF والمزيد. |
محرك التعلم الآلي المستند إلى بيانات التعريف تقوم نماذج التعلم الآلي المتخصصة، والتي تتضمن نماذج خاصة بنوع الملف، ونماذج خاصة بالميزات، ونماذج رتيبة متشددة من الخصم، بتحليل وصف مميز للملفات المشبوهة المرسلة من قبل العميل. تجمع مصنفات المجموعات المكدسة بين النتائج من هذه النماذج لإصدار حكم في الوقت الحقيقي للسماح بالملفات أو حظرها قبل التنفيذ. |
|
محرك مراقبة السلوك يراقب محرك مراقبة السلوك الهجمات المحتملة بعد التنفيذ. يراقب سلوكيات العملية، بما في ذلك تسلسل السلوك في وقت التشغيل، لتحديد أنواع معينة من الأنشطة وحظرها استنادا إلى قواعد محددة مسبقا. |
محرك التعلم الآلي المستند إلى السلوك تتم مراقبة تسلسلات السلوك المشبوهة وتقنيات الهجوم المتقدمة على العميل كمشغلات لتحليل سلوك شجرة العملية باستخدام نماذج التعلم الآلي السحابية في الوقت الحقيقي. تمتد تقنيات الهجوم المراقبة عبر سلسلة الهجوم، من عمليات الاستغلال والارتفاع والمثابرة طوال الطريق إلى الحركة الجانبية والاختراق. |
|
محرك فحص الذاكرة يفحص هذا المحرك مساحة الذاكرة المستخدمة بواسطة عملية تشغيل لكشف السلوك الضار الذي يمكن أن يختبئ من خلال التعتيم على التعليمات البرمجية. |
محرك التعلم الآلي المقترن بواجهة فحص البرامج الضارة (AMSI) تقوم أزواج من النماذج من جانب العميل وجانب السحابة بإجراء تحليل متقدم لسلوك البرمجة النصية قبل التنفيذ وبعده للقبض على التهديدات المتقدمة مثل الهجمات بلا ملف وفي الذاكرة. تتضمن هذه النماذج زوجا من النماذج لكل محرك من محركات البرمجة النصية التي تمت تغطيتها، بما في ذلك وحدات ماكرو PowerShell وJavaScript وVBScript وOffice VBA. تتضمن عمليات التكامل كلا من استدعاءات المحتوى الديناميكي و/أو الأجهزة السلوكية على محركات البرمجة النصية. |
|
محرك تكامل AMSI يتيح محرك التكامل العميق داخل التطبيق الكشف عن الهجمات بدون ملفات وفي الذاكرة من خلال AMSI، وهزيمة التعتيم على التعليمات البرمجية. يمنع هذا التكامل السلوك الضار للنصوص من جانب العميل. |
محرك التعلم الآلي لتصنيف الملفات تفحص مصنفات الشبكة العصبية العميقة متعددة الفئات محتويات الملف الكامل، وتوفر طبقة إضافية من الدفاع ضد الهجمات التي تتطلب المزيد من التحليل. يتم الاحتفاظ بالملفات المشبوهة من التشغيل وإرسالها إلى خدمة الحماية السحابية للتصنيف. في غضون ثوان، تنتج نماذج التعلم العميق كامل المحتوى تصنيفا وترد على العميل للسماح بالملف أو حظره. |
|
محرك استدلالات تحدد القواعد الإرشادية خصائص الملف التي لها أوجه تشابه مع خصائص ضارة معروفة لالتقاط تهديدات جديدة أو إصدارات معدلة من التهديدات المعروفة. |
محرك التعلم الآلي المستند إلى التفجير يتم تفجير الملفات المشبوهة في بيئة الاختبار المعزولة. تحلل مصنفات التعلم العميق السلوكيات المرصودة لمنع الهجمات. |
|
محرك المحاكاة يقوم محرك المحاكاة بفك البرامج الضارة ديناميكيا ويفحص كيفية تصرفها في وقت التشغيل. يؤدي المحاكاة الديناميكية للمحتوى ومسح كل من السلوك أثناء المحاكاة ومحتوى الذاكرة في نهاية المحاكاة إلى هزيمة حزم البرامج الضارة وكشف سلوك البرامج الضارة متعددة الأشكال. |
محرك التعلم الآلي من السمعة يتم الاستعلام عن مصادر سمعة خبير المجال والنماذج من جميع أنحاء Microsoft لحظر التهديدات المرتبطة بعناوين URL والمجالات ورسائل البريد الإلكتروني والملفات الضارة أو المشبوهة. تتضمن المصادر SmartScreen ل Windows Defender لنماذج سمعة عنوان URL Defender لـ Office 365 لمعرفه خبير مرفقات البريد الإلكتروني، من بين خدمات Microsoft الأخرى من خلال Microsoft Intelligent Security Graph. |
|
محرك الشبكة يتم فحص أنشطة الشبكة لتحديد الأنشطة الضارة وإيقافها من التهديدات. |
محرك القواعد الذكية تحدد القواعد الذكية المكتوبة بواسطة الخبراء التهديدات استنادا إلى خبرة الباحثين والمعرفة الجماعية بالتهديدات. |
|
محرك فحص CommandLine يفحص هذا المحرك خطوط الأوامر لجميع العمليات قبل تنفيذها. إذا تم العثور على سطر الأوامر لعملية ما أنه ضار، حظره من التنفيذ. |
محرك التعلم الآلي من CommandLine تقوم نماذج التعلم الآلي المتقدمة المتعددة بفحص خطوط الأوامر المشبوهة في السحابة. إذا تم العثور على سطر أوامر ضار، ترسل السحابة إشارة إلى العميل لمنع بدء العملية المقابلة. |
لمزيد من المعلومات، راجع Microsoft 365 Defender يوضح تغطية الحماية بنسبة 100 بالمائة في 2023 MITRE Engenuity ATT&CK® Evaluations: Enterprise.
كيفية عمل حماية الجيل التالي مع قدرات Defender لنقطة النهاية الأخرى
جنبا إلى جنب مع تقليل الأجزاء المعرضة للهجوم، والذي يتضمن قدرات متقدمة مثل العزل المستند إلى الأجهزة، والتحكم في التطبيقات، والحماية من الهجمات، وحماية الشبكة، والوصول إلى المجلدات الخاضعة للرقابة، وقواعد تقليل الأجزاء المعرضة للهجوم، وجدار حماية الشبكة، توفر محركات الحماية من الجيل التالي Microsoft Defender لنقطة النهايةقدرات prebreach، وإيقاف الهجمات قبل أن يتمكنوا من اختراق الأجهزة والشبكات للخطر.
كجزء من حل Microsoft الدفاعي المتعمق، يتراكم الأداء المتفوق لهذه المحركات على Microsoft Defender لنقطة النهاية حماية نقطة النهاية الموحدة، حيث تعمل عمليات الكشف عن الفيروسات وغيرها من قدرات الحماية من الجيل التالي على إثراء الكشف عن نقطة النهاية والاستجابة لها، والتحقيق التلقائي والمعالجة، والتتبع المتقدم، إدارة المخاطر والثغرات الأمنية وخدمة تتبع التهديدات المدارة والقدرات الأخرى.
يتم تضخيم هذه الحماية بشكل أكبر من خلال Microsoft Defender XDR، الحل الأمني الشامل الشامل من طرف إلى طرف من Microsoft لأماكن العمل الحديثة. من خلال مشاركة الإشارات وتنسيق المعالجة عبر تقنيات الأمان من Microsoft، Microsoft Defender XDR يؤمن الهويات ونقاط النهاية والبريد الإلكتروني والبيانات والتطبيقات والبنية الأساسية.
حماية الذاكرة وفحص الذاكرة
يوفر برنامج الحماية من الفيروسات Microsoft Defender (MDAV) حماية الذاكرة بمحركات مختلفة:
| Client | سحابة |
|---|---|
| مراقبة السلوك | التعلم الآلي المستند إلى السلوك |
| تكامل واجهة فحص مكافحة البرامج الضارة (AMSI) | التعلم الآلي المقترن ب AMSI |
| مضاهاه | التعلم الآلي المستند إلى التفجير |
| فحص الذاكرة | N/A |
طبقة إضافية للمساعدة في منع الهجمات المستندة إلى الذاكرة هي استخدام قاعدة تقليل الأجزاء المعرضة للهجوم (ASR) - منع تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى. لمزيد من المعلومات، راجع حظر تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى.
الأسئلة الشائعة
كم عدد تهديدات البرامج الضارة التي Microsoft Defender حظر برنامج الحماية من الفيروسات شهريا؟
خمسة مليارات تهديد على الأجهزة كل شهر.
كيف تساعد حماية ذاكرة برنامج الحماية من الفيروسات Microsoft Defender؟
راجع الكشف عن تحميل DLL العاكس باستخدام Windows Defender لنقطة النهاية للتعرف على طريقة واحدة Microsoft Defender تساعد الحماية من هجوم ذاكرة مكافحة الفيروسات.
هل تركز جميع عمليات الكشف/الوقاية الخاصة بك في منطقة جغرافية محددة واحدة؟
لا، نحن في جميع المناطق الجغرافية (الأمريكتين و EMEA و APAC).
هل تركزون جميعا على صناعات محددة؟
نحن نركز على كل صناعة.
هل يتطلب الكشف/الحماية محللا بشريا؟
عندما تقوم باختبار القلم، يجب أن تطلب أين لا يشارك أي محلل بشري في الكشف/الحماية، لمعرفة كيفية فعالية محرك مكافحة الفيروسات الفعلي (prebreach) حقا، وفعالية منفصلة حيث يشارك المحللون البشريون. يمكنك إضافة خبراء Microsoft Defender لـ XDR خدمة الكشف والاستجابة الموسعة المدارة لزيادة SOC الخاص بك.
التحسين التكراري المستمر لكل من هذه المحركات لتكون فعالة بشكل متزايد في اصطياد أحدث سلالات من البرامج الضارة وأساليب الهجوم. تظهر هذه التحسينات في درجات أعلى متسقة في اختبارات الصناعة، ولكن الأهم من ذلك، تترجم إلى توقف التهديدات وتفشي البرامج الضارة وحماية المزيد من العملاء.